מעבדות קספרסקי זיהו תוכנת ריגול זדונית חדשה

מעבדות קספרסקי זיהו תוכנת ריגול זדונית חדשה

This post is also available in: enEnglish (אנגלית)

16139631_sמעבדת Kaspersky Lab מזהה את “Mini-Duke”, תוכנה זדונית חדשה שתוכננה לרגל אחר מוסדות וגורמים ממשלתיים ברחבי העולם.   שחקנים  חדשים  בתחום איומי האינטרנט משלבים  כישורי כתיבת תוכנות זדוניות "מהאסכולה הישנה" עם ניצול חדש של ניצול פרצות ב-Adobe Reader  לאיסוף מודיעין גיאופוליטי ממטרות בעלות נוכחות גבוהה ברשת.

צוות מומחים של  מעבדות קספרסקי ( Kaspersky Labs  ) פרסם דו"ח מחקר חדש ובו ניתוח סדרת תקריות אבטחה בהן נוצלה פרצת אבטחה  ב-Adobe Reader CVE-2013-6040)   בשילוב עם תוכנה זדונית בשם Mini-Duke. בדלת האחורית של Mini-Duke  נעשה שימוש במהלך השבוע האחרון לתקיפת סוכנויות ממשלה ומוסדות רבים ברחבי העולם .

צוות מומחי מעבדת קספרסקי פרסם דו"ח מחקר חדש המנתח את סדרת תקריות האבטחה. מומחי מעבדת קספרסקי, בשותפות עם Cry-Sys Lab, ניתחו את התקיפות בפירוט ופרסמו את ממצאיהם.

בהתאם לניתוח של מעבדת קספרסקי, מספר מטרות בעלות פרופיל רשת גבוה נפגעו על

 ידי תקיפות ה- Mini-Duke, כולל גופים ממשלתיים באוקראינה, בבלגיה, פורטוגל, רומניה, צ'כיה ואירלנד. בנוסף, נפגעו מכון מחקר, שני צוותי חשיבה, ספק שירותי בריאות בארה"ב ומכון מחקר מפורסם בהונגריה.

"זאת התקפת סייבר מאד בלתי רגילה," אומר יוג'ין קספרסקי, מייסד ומנכ"ל מעבדות קספרסקי. "אני זוכר סוג זה של תכנות זדוני מסוף שנות ה-90 ותחילת שנות ה-2000. אני תוהה אם סוגים אלו של כותבי תוכנות זדוניות , אשר היו בתרדמת במשך יותר מעשור, התעוררו לפתע והצטרפו לקבוצה המתוחכמת של שחקני האיומים הפעילים בעולם הסייבר. כותבי עילית אלו של תוכנות זדוניות מ"האסכולה הישנה" היו בעבר מאד יעילים ביצירת וירוסים מורכבים ביותר, ומשלבים כעת את הכישרונות האלו עם הפרצות המתקדמות החדשות כדי לפגוע בגופים ממשלתיים ומכוני מחקר במספר מדינות".

הדלת האחורית המותאמת במיוחד(customized)  של Mini-Duke נכתבה בשפת אסמבלר והיא קטנה מאד, 20kb בלבד," הוסיף קספרסקי. " הצירוף של כותבי התוכנות הזדוניות , החכמים והמנוסים מהאסכולה הישנה, עם פרצות שנתגלו לאחרונה,בשילוב עם הנדסה חברתית חכמה לפגיעה במטרות בעלות פרופיל גבוה הינו מסוכן ביותר."

הממצאים הראשוניים של מחקר מעבדת קספרסקי:

  • תוקפי ה-MiniDuke עדיין פעילים, ותקפו לאחרונה ב-20 לפברואר, 2013. כדי לפגוע בקורבנותיהם, הם השתמשו בטכניקות אפקטיביות ביותר של הנדסה חברתית, שכללו שליחת מסמכי PDF  זדוניים לקורבנותיהם. ה-PDF-ים היו בעלי רלוונטיות רבה – עם תוכן ששילב מידע בנושאי זכויות אדם עם מדיניות החוץ של אוקראינה ותוכניות החברות בנאט"ו. PDF-ים זדוניים אלו היו כללו קוד ניצול פרצות התוקף את גרסאות 9, 10 ו-11 של Adobe Reader , ע"י עקיפת "ארגז החול" (מרכיב תוכנת אנטי-ווירוס) שלה. ליצירת הקודים מנצלי הפרצות נעשה שימוש בערכת כלים, שכנראה נעשה בה כבר שימוש קודם בהתקפה האחרונה שדווחה על ידי Fire-Eye. עם זאת, קודי ניצול הפרצות של Mini-Duke  היו למטרות אחרות וכללו תוכנה זדונית מותאמת במיוחד משל עצמם.
  • ברגע שמנוצלת הפרצה במערכת, מוחדרת תוכנת הורדה קטנה מאד, שגודלה 20kb   בלבד, לתוך הדיסק של מחשב הקורבן. תוכנת ההורדה היא ייחודית ומותאמת למערכת, וכוללת תוכנת דלת אחורית custom הכתובה בשפת אסמבלר. כאשר תוכנה זו נטענת בזמן העלאת המערכת (boot), תוכנת הורדה זו עושה שימוש באוסף חישובים מתמטיים לקביעת טביעת אצבע ייחודית של המחשב, ומשתמשת במידע זה להצפנה ייחודית של התקשורות שלה.  היא גם מתוכנתת למניעת ניתוח על ידי אוסף כלים קבועים (hardcoded) הקיימים בסביבות מסוימות כמו VMware. אם היא מגלה כלי כזה, היא תרוץ במצב idle בתוך הסביבה  במקום לעבור לשלב הבא ולחשוף חלק נוסף מהפונקציונאליות שלה ע"י פענוח נוסף שלה; תחכום זה מצביע על כך שכותבי התוכנה הזדונית יודעים בדיוק מה עושים מקצועני תוכנות האנטי-ווירוס ואבטחת ה-IT כדי לנתח ולזהות את התוכנה הזדונית.
  • אם מערכת הקורבן עומדת בדרישות המוגדרות מראש, התוכנה הזדונית תעשה שימוש בטוויטר (ללא ידיעת המשתמש) ותתחיל לחפש ציוצים ספציפיים מחשבונות שהוגדרו מראש, אשר נוצרו על ידי מפעילי השו"ב של ה-Mini-Duke, ואשר מכילים תוויות (tags) של URL-ים מוצפנים עבור הדלתות האחוריות. URL-ים אלו נותנים גישה למפעילי השו"ב הזדוניים, אשר מספקים בעקבות כך פקודות פוטנציאליות והעברות מוצפנות של דלתות אחוריות נוספות לתוך המערכת דרך קובצי GIF.
  • על בסיס הניתוח, נראה שיוצרי ה-Mini-Duke מספקים מערכת גיבוי דינאמית שיכולה "לטוס מתחת למכ"מ". אם טוויטר אינו פועל, או אם החשבונות אינם מופעלים, התוכנה הזדונית תשתמש בחיפושי Google למציאת המחרוזות המוצפנות לשו"ב הבא. מודל זה הינו גמיש ומאפשר למפעילים לשנות באופן מתמיד את הדרך בה הדלתות האחוריות שלהם מקבלות פקודות או קוד זדוני נוספים כנדרש.
  • ברגע שהמערכת הנגועה מוצאת את השו"ב הזדוני, היא קולטת דלתות אחוריות שמוחבאות בתוך קובצי ה-GIF ומתחזות לתמונות המופיעות על מחשב הקורבן. ברגע שהם עברו הורדה (download) למכונה, הם יכולים לגרום להורדת דלתות אחוריות גדולות יותר, המבצעות כמה פעולות בסיסיות, כמו copy file, move file, remove file, make directory, Kill process , וכמובן – download and execute new malware.
  • הדלת האחורית של התוכנה הזדונית מתחברת לשני שרתים, האחד בפנמה והשני בתורכיה, לקבלת הוראות מהתוקפים.

 

 

 


למידע נוסף


הרשמה לניוזלטר